計算機(jī)病毒分析_第1頁
計算機(jī)病毒分析_第2頁
計算機(jī)病毒分析_第3頁
計算機(jī)病毒分析_第4頁
計算機(jī)病毒分析_第5頁
已閱讀5頁,還剩9頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

計算機(jī)病毒分析第一頁,共十四頁,編輯于2023年,星期五將要介紹的幾種病毒類型DOS病毒引導(dǎo)區(qū)病毒文件型病毒混合型病毒W(wǎng)indows病毒VBS腳本病毒宏病毒網(wǎng)頁病毒W(wǎng)in32PE病毒第二頁,共十四頁,編輯于2023年,星期五引導(dǎo)區(qū)病毒什么是主引導(dǎo)記錄?硬盤的主引導(dǎo)記錄在硬盤的0磁頭0柱面1扇區(qū)。主引導(dǎo)記錄由三部分組成:主引導(dǎo)程序;四個分區(qū)表;主引導(dǎo)記錄有效標(biāo)志字。第三頁,共十四頁,編輯于2023年,星期五感染過程是否在讀寫軟盤?是,則將目標(biāo)盤的引導(dǎo)扇區(qū)讀入內(nèi)存,對該盤進(jìn)行判別是否傳染了病毒;當(dāng)滿足傳染條件時,則將病毒的全部或者一部分寫入Boot區(qū),把正常的磁盤的引導(dǎo)區(qū)程序?qū)懭氪疟P特寫位置;返回正常的INT13H中斷服務(wù)處理程序,完成了對目標(biāo)盤的傳染。第四頁,共十四頁,編輯于2023年,星期五感染過程第五頁,共十四頁,編輯于2023年,星期五引導(dǎo)型病毒的主要特點

引導(dǎo)型病毒是在安裝操作系統(tǒng)之前進(jìn)入內(nèi)存,寄生對象又相對固定,因此該類型病毒基本上不得不采用減少操作系統(tǒng)所掌管的內(nèi)存容量方法來駐留內(nèi)存高端。而正常的系統(tǒng)引導(dǎo)過程一般是不減少系統(tǒng)內(nèi)存的。引導(dǎo)型病毒需要把病毒傳染給軟盤,一般是通過修改INT13H的中斷向量,而新INT13H中斷向量段址必定指向內(nèi)存高端的病毒程序。引導(dǎo)型病毒感染硬盤時,必定駐留硬盤的主引導(dǎo)扇區(qū)或引導(dǎo)扇區(qū),并且只駐留一次,因此引導(dǎo)型病毒一般都是在軟盤啟動過程中把病毒傳染給硬盤的。

第六頁,共十四頁,編輯于2023年,星期五文件型病毒什么是文件型病毒?所有通過操作系統(tǒng)的文件系統(tǒng)進(jìn)行感染的病毒都稱作文件病毒。我們將會介紹的兩種病毒COM文件型病毒EXE文件型病毒第七頁,共十四頁,編輯于2023年,星期五COM文件型病毒COM文件被載入內(nèi)存后的格式第八頁,共十四頁,編輯于2023年,星期五EXE文件型病毒MZ文件頭格式偏移

大小

描述002

bytes

.EXE

文件類型標(biāo)記:4d5ah02

2

bytes

文件的最后一個扇區(qū)的字節(jié)數(shù)04

2

bytes

文件的總扇區(qū)數(shù)文件大小=(總扇區(qū)數(shù)-1)*512+最后一頁字節(jié)數(shù)06 2

bytes

重定位項的個數(shù)08

2

bytes

exe文件頭的大小(16

bytes*this

value)0a

2

bytes

最小分配數(shù)(16

bytes*this

value)0c

2

bytes

最大分配數(shù)(16

bytes*this

value)0e

2

bytes

堆棧初始段址(SS)10

2

bytes

堆棧初始指針(SP)12

2

bytes

補(bǔ)碼校驗和14

2

bytes

初始代碼段指針(IP)16

2

bytes

初始代碼段段址(CS)18

2

bytes

定位表的偏移地址1a

2

bytes

覆蓋號The

overlay

number

make

by

link第九頁,共十四頁,編輯于2023年,星期五混合型病毒什么是混合型病毒?所謂混合型病毒,就是指既可以感染引導(dǎo)區(qū)又可以感染文件的病毒。但是這種病毒絕對不是引導(dǎo)區(qū)病毒和文件型病毒的簡單相加。文件型病毒大多采用INT21H,但是引導(dǎo)型病毒是在引導(dǎo)階段進(jìn)行感染駐留,這時DOS系統(tǒng)還沒有啟動,因此混合型病毒此時無法采用21號中斷。如何解決這個問題?第十頁,共十四頁,編輯于2023年,星期五宏病毒什么是宏病毒?宏病毒是使用宏語言編寫的程序,可以在一些數(shù)據(jù)處理系統(tǒng)中運行(主要是微軟的辦公軟件系統(tǒng),字處理、電子數(shù)據(jù)表和其他Office程序中),存在于字處理文檔、數(shù)據(jù)表格、數(shù)據(jù)庫、演示文檔等數(shù)據(jù)文件中,利用宏語言的功能將自己復(fù)制并且繁殖到其他數(shù)據(jù)文檔里。

第十一頁,共十四頁,編輯于2023年,星期五網(wǎng)頁病毒我們這里所指的網(wǎng)頁病毒是指在html文件中用于非法修改用戶機(jī)器配置的html文件。有別于一般通過網(wǎng)頁傳染的病毒。

這種病毒嚴(yán)格意義上講不屬于病毒,它們只是網(wǎng)頁惡意代碼,這些代碼主要用來修改用戶的注冊表。第十二頁,共十四頁,編輯于2023年,星期五Win32PE病毒什么是PE病毒?PE病毒是指所有感染W(wǎng)indows下PE文件格式文件的病毒。PE病毒大多數(shù)采用Win32匯編編寫。PE病毒對于一個熱衷于病毒技術(shù)的人來說,是必須掌握的。只有在PE病毒中,我們才能真正感受到高超的病毒技術(shù)。第

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論